ΔΙΑΧΕΙΡΙΣΗ ΔΙΑΚΙΝΔΥΝΕΥΣΗΣ ΣΧΕΤΙΚΑ ΜΕ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Γράφει o Δημοσθένης Κωστούλας, ΜΒΑ, MSc, BSc*

Με αφορμή την πολύ πρόσφατη δημοσίευση του «Εθνικού Πλαισίου Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων» (6/5/2025), υπενθυμίζεται σε όλους η σημαντικότητα της διενέργειας εκτίμησης κινδύνων (risk assessment) που απειλούν την ασφάλεια των συστημάτων δικτύου και πληροφοριών. Ειδικότερα για τα προσωπικά δεδομένα, κάθε ολοκληρωμένο πρόγραμμα συμμόρφωσης πρέπει όντως να περιλαμβάνει μια ολοκληρωμένη Ανάλυση Διακινδύνευσης (Risk Assessment). Αν και η ενδεδειγμένη μέθοδος για την εκτίμηση του επιπέδου ασφάλειας σύμφωνα με τα οριζόμενα στις διατάξεις του άρθρου 35 του ΓΚΠΔ σχετικά με την προστασία δεδομένων (υψηλού κινδύνου) είναι η υλοποίηση της Μελέτης Αντικτύπου (Data Privacy Impact Analysis - DPIA), εντούτοις συστήνεται να διενεργείται (και) μια γενικότερη ανάλυση διακινδύνευσης για το σύνολο των κινδύνων / απειλών. Σύμφωνα με τις γενικότερες επιταγές ασφάλειας (άρθρο 32 του ΓΚΠΔ), η Ανάλυση Διακινδύνευσης πρέπει να σχετίζεται με τα ευρήματα που εντοπίζονται από την φάση της αρχικής Χαρτογράφησης (Data Mapping) και να υλοποιείται τόσο ΠΡΙΝ, όσο και ΜΕΤΑ από την εφαρμογή των κατάλληλων τεχνικών και οργανωτικών μέτρων για την προστασία των προσωπικών  δεδομένων.

Κίνδυνος / Απειλή ορίζεται ως η πιθανότητα ή απειλή ζημίας, απώλειας ή αρνητικής συνέπειας σε ευαίσθητα περιεχόμενα / πληροφορίες και προσωπικά δεδομένα, με αρνητική επίπτωση στα θεμελιώδη δικαιώματα και τις ελευθερίες των φυσικών προσώπων (και ειδικότερα το δικαίωμα τους στην προστασία των δεδομένων) ή/και την απρόσκοπτη λειτουργία του Οργανισμού (ως υπεύθυνος επεξεργασίας). Οι κίνδυνοι μπορεί να προέρχονται τόσο από εγγενείς όσο και από εξωγενείς παράγοντες και μπορούν να μετριαστούν με κατάλληλα μέτρα. Η Διαχείριση Διακινδύνευσης αφορά το σύνολο διαδικασιών που σχετίζονται με τον εντοπισμό, την αξιολόγηση και την αντιμετώπιση των παραπάνω κινδύνων.

 

Στάδια Υλοποίησης

Για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την Διαχείριση Διακινδύνευσης σχετικά με τα προσωπικά δεδομένα, ένας Οργανισμός (ως υπεύθυνος επεξεργασίας) συστήνεται να υιοθετήσει την μέθοδο DMRA (Decision Matrix Risk Assessment technique), μια συστηματική προσέγγιση που χρησιμοποιείται για τον αρχικό προσδιορισμό του επιπέδου κινδύνου (Risk Level) και τη σύγκριση διαφορετικών κινδύνων. Πρόκειται για ένα ευρέως χρησιμοποιούμενο εργαλείο για την ανάλυση, την αξιολόγηση και τον καθορισμό προτεραιοτήτων ως προς την διαχείριση κινδύνων, βάσει και του διεθνούς προτύπου ISO 31000.

Σύμφωνα με την συγκεκριμένη μέθοδο, η ανάλυση διακινδύνευσης αποτελείται από τα ακόλουθα στάδια, κατά την υλοποίηση των οποίων απαιτείται διαρκή επικοινωνία μεταξύ των εμπλεκόμενων τμημάτων και διευθύνσεων του Οργανισμού:

• Ορισμός του οργανωτικού πλαισίου και των γενικότερων κανόνων
• Προσδιορισμός των κινδύνων που απειλούν αφενός τα υπό επεξεργασία προσωπικά δεδομένα για διαφορετικές κατηγορίες υποκειμένων που συνδιαλέγονται με τον Οργανισμό και αφετέρου την γενικότερη ασφάλεια του Οργανισμού
• Ανάλυση των εντοπισμένων κινδύνων
• Αξιολόγηση των εντοπισμένων κινδύνων
• Αντιμετώπιση / διαχείριση των εντοπισμένων κινδύνων
• Παρακολούθηση υλοποίησης διορθωτικών ενεργειών και επανεξέταση.

Ειδικότερα, ο υπεύθυνος επεξεργασίας δεδομένων προτείνεται να ακολουθεί τα εξής στάδια:

1.Στάδιο Εντοπισμού Κινδύνων (Risk Identification) [**]

Αφορά τον εντοπισμό, την αναγνώριση και την περιγραφή των κινδύνων / απειλών που θα μπορούσαν να επηρεάσουν την ακεραιότητα, την εμπιστευτικότητα ή/και την διαθεσιμότητα των υπό επεξεργασία προσωπικών δεδομένων, καθώς και την ασφαλή λειτουργία ολόκληρου του Οργανισμού. Η έρευνα επεκτείνεται και στην εξέταση των πηγών κινδύνου και των αιτιών που μπορεί να προκαλέσουν τους συγκεκριμένους κινδύνους. Οι γενικότερες συνθήκες που μπορεί να απειλούνται είναι η Ακεραιότητα των δεδομένων (Integrity /αλλοίωση δεδομένων), η Εμπιστευτικότητα των δεδομένων (Confidentiality) και η Διαθεσιμότητα των δεδομένων (Availability).

[**]Ενδεικτικοί κίνδυνοι:

Απώλεια δεδομένων - Κλοπή προσωπικών δεδομένων - Διαρροή προσωπικών δεδομένων - Μη εγκεκριμένη τροποποίηση δεδομένων - Μη ικανοποίηση αιτήματος υποκειμένων δεδομένων - Μη εγκεκριμένη διαγραφή δεδομένων - Αδυναμία λήψης backup / Μη διαθέσιμο backup - Μη προσβασιμότητα σε φακέλους & αρχεία του Οργανισμού - Μη προσβασιμότητα σε διαδικτυακές υπηρεσίες - Σφάλματα χρήσης / Αμέλεια χρηστών - Ελλιπής εκπαίδευση χρηστών σε κανόνες ασφάλειας & προστασίας δεδομένων - Φυσικές καταστροφές - Πυρκαγιά / Πλημμύρα - Φθορά / απώλεια σε hardware - Αστοχία κρίσιμου υλικού - Κίνδυνος μόλυνσης από ιούς και διασπορά - Κυβερνοεπίθεση / Παράνομη εισβολή σε δίκτυο / Hacking - Παρεμπόδιση κυβεροκυκλοφορίας - Λογισμικό ή δράσεις που εκμεταλλεύονται κενά ασφαλείας - Ανεπιθύμητα μηνύματα (spam) – Δολιοφθορά – Παραπληροφόρηση - Πλαστογραφία

Απάτη / Εξαπάτηση - Ακατάλληλο περιεχόμενο κ.ο.κ.

 

2.Ανάλυση Κινδύνων (Risk Analysis)

Αφορά την κατανόηση των πηγών, των αιτιών και της φύσης των ήδη εντοπισμένων κινδύνων / απειλών για τα υπό επεξεργασία προσωπικά δεδομένα και τον ίδιο τον Οργανισμό, καθώς και την εξέταση των υφιστάμενων μέτρων για την πρόληψη ή την αντιμετώπιση τους. Ακολουθεί ο υπολογισμός της Πιθανότητας να προκύψουν οι εντοπισμένοι κίνδυνοι και η ανάλυση των Συνεπειών / Επιπτώσεων τους, εφόσον οι κίνδυνοι συμβούν.

Η εξέταση επάρκειας των υφιστάμενων ελέγχων και μέτρων ερευνά το αν επαρκούν τα υφιστάμενα μέτρα για την πρόληψη ή τον μετριασμό των κινδύνων, καθώς και για την ανάκαμψη κατόπιν της εμφάνισης τους. Ταυτόχρονα, η αποτελεσματικότητα των υφιστάμενων μέτρων αξιολογείται λαμβάνοντας υπόψη: 1) ποιοι είναι οι υφιστάμενοι έλεγχοι για έναν συγκεκριμένο κίνδυνο και 2) εάν αυτοί οι έλεγχοι  είναι ικανοί να αντιμετωπίσουν επαρκώς τον κίνδυνο. Στην πράξη, αξιολογείται αν οι έλεγχοι υλοποιούνται με τον προβλεπόμενο τρόπο και αν μπορούν να αποδειχθούν αποτελεσματικοί, όταν αυτό απαιτηθεί.

Συγκεκριμένα, ένας εντοπισμένος κίνδυνος / ανεπιθύμητο γεγονός σχετικά τα προσωπικά δεδομένα βαθμολογείται ως προς την Πιθανότητα (Π) εμφάνισης ενός κινδύνου και ως προς την Σοβαρότητα (Σ) των συνεπειών του. Και οι 2 παράμετροι μετρούνται με την χρήση 5βάθμιου πίνακα, όπου το 1 είναι απίθανο ένας κίνδυνος να συμβεί ή εάν συμβεί, να έχει μηδαμινές επιπτώσεις. Αντίστοιχα, η αξιολόγηση 5 σημαίνει ότι ένας κίνδυνος είναι σχεδόν σίγουρο ότι θα συμβεί, ενώ εάν συμβεί αναμένεται να έχει καταστροφικές συνέπειες.

• Συχνότητα/πιθανότητα (Π) εμφάνισης εντοπισμένου κινδύνου, λαμβάνοντας υπόψη το γενικότερο επίπεδο προστασίας και τα υφιστάμενα μέτρα προστασίας:

• Σοβαρότητα (Σ) των συνεπειών από τον συγκεκριμένο κίνδυνο / ανεπιθύμητο συμβάν / απειλή για τα προσωπικά δεδομένα, εφόσον εμφανιστεί:

Η εκτίμηση των επιπτώσεων επεκτείνεται και στους πελάτες, το προσωπικό, την Διοίκηση, τις συνεργαζόμενες εταιρείες / εκτελούντες την επεξεργασία, την φήμη του Οργανισμού, τις νομικές και κανονιστικές υποχρεώσεις κ.ο.κ.

Μετά τον υπολογισμό της Πιθανότητας και της Σοβαρότητας, υπολογίζεται η επίπτωση σύμφωνα με το παρακάτω γινόμενο:

Επίπτωση = Σοβαρότητα * Πιθανότητα

Η κατάταξη της επίπτωσης γίνεται σύμφωνα με τον παρακάτω πίνακα:

Στον επόμενο πίνακα παρουσιάζεται συνοπτικά η σχέση μεταξύ πιθανότητας, σοβαρότητας και επίπτωσης:

3.Αξιολόγηση Κινδύνων (Risk Evaluation)

Σε συνέχεια του εντοπισμού και της ανάλυσης των κινδύνων, αποφασίζεται ποιοι κίνδυνοι θα αντιμετωπιστούν, με ποιον τρόπο και με ποια προτεραιότητα. Αυτό το βήμα βοηθά τον Οργανισμό στη λήψη αποφάσεων σχετικά με την ανεκτικότητα και την ιεράρχηση του κάθε κινδύνου, συγκρίνοντας το εκτιμώμενο επίπεδο κινδύνου με τα προ-αποφασιμένα κριτήρια κινδύνου.

 

4.Αντιμετώπιση Κινδύνων (Post Risk Assessment) [***]

Η διαχείριση των εντοπισμένων κινδύνων περιλαμβάνει πολλές επιλογές, βάσει εκτιμήσεων και αποφάσεων του Οργανισμού, όπως ή αποφυγή του κινδύνου, η αντιμετώπιση ή μετριασμός του, η τροποποίηση της πιθανότητας ή/και επίπτωσης και η αφαίρεση της πηγής του κινδύνου. Μετά την υλοποίηση των μέτρων συνιστάται η επαναξιολόγηση του κινδύνου, για να διαγνωστεί εάν αυτός αντιμετωπίστηκε επαρκώς και να προκύψει ο εναπομείναν κίνδυνος.

 

[***]Ενδεικτικά Τεχνικά και Οργανωτικά Μέτρα:

Πρόγραμμα συμμόρφωσης με ΓΚΠΔ και κείμενη Νομοθεσία - Πολιτικές / Διαδικασίες διαχείρισης δεδομένων - Διαχείριση αναφοράς και διαχείρισης παραβιάσεων / εισβολών / απώλειας δεδομένων - Business Continuity Plan, Disaster Recovery Plan - Εκπαιδεύσεις εργαζομένων στην ορθή χρήση λογισμικού – Σύμβαση εμπιστευτικότητας δεδομένων με συνεργαζόμενες εταιρείες - Παρακολούθηση υλοποίησης έργου συνεργαζόμενων εταιρειών, Clean desk policy - Γενικότερη ασφάλεια χώρων (εσωτερικών και εξωτερικών) - Λειτουργία κλειστού κυκλώματος τηλεόρασης (CCTV) - Λειτουργία συστήματος πυρανίχνευσης / πυροπροστασίας - Εφαρμογή προγράμματος απεντομώσεων / μυοκτονιών - Ελεγχόμενες συνθήκες κρίσιμων χώρων (control room, φυσικό αρχείο κλπ.) - Πρόγραμμα προληπτικών συντηρήσεων κρίσιμων υποδομών / εξοπλισμού, Απαγόρευση πρόσβασης σε ακατάλληλους ιστότοπους - Απενεργοποίηση / ελεγχόμενες θύρες USB - Δοκιμαστική ανάκτηση ανά τακτά χρονικά διαστήματα  - Ελεγχόμενες προσβάσεις / εξουσιοδοτήσεις - Αναβαθμίσεις και προληπτική συντήρηση λογισμικού - Ισχυροί κωδικοί πρόσβασης - Remote backup - Αντιμετώπιση απώλειας δεδομένων (DLP) / Data Loss, Data Leak – FIREWALL – ANTIVIRUS - PENETRATION TEST - Διαχείριση LOG files - Δικαιώματα χρηστών μέσω active directory – Κρυπτογράφηση βάσεων - BYOD/P - VDI (Virtual Desktop Infrastructure) – VPN κ.ο.κ.

5.Ανασκόπηση

Ακόμα και μετά την ολοκλήρωση της ανάλυσης διακινδύνευσης, ο Οργανισμός πρέπει να προχωράει σε διαρκή έλεγχο, αφού οι κίνδυνοι /απειλές μπορεί να είναι δυναμικοί και να διαφοροποιούνται μέσα στον χρόνο, καθιστώντας τα επιλεχθέντα διορθωτικά μέτρα μη αποτελεσματικά. Γενικά, η αξιολόγηση των κινδύνων ανασκοπείται κατά ελάχιστο σε ετήσια βάση ή όποτε προκύπτουν σημαντικές αλλαγών (π.χ. χρήση νέου εξοπλισμού, συλλογή και επεξεργασία νέων δεδομένων, τροποποίηση τρόπου επεξεργασίας κ.λπ.).

 

* Ο Δημοσθένης Κ. Κωστούλας, GDPR Expert / certified DPO, QMS IRCA Lead Auditor ISO 9001:2015, CQI IRCA Lead Auditor ISO 27001:2013, είναι απόφοιτος του Τμήματος Διεθνών & Ευρωπαϊκών Οικονομικών και Πολιτικών Σπουδών του Πανεπιστημίου Μακεδονίας και κάτοχος των τίτλων MBΑ και MSc in International Business and Finance. Είναι ένας εκ των δύο συγγραφέων του βιβλίου με τίτλο «Η Συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων – Πρακτικά Ζητήματα – Υποδείγματα» (Ιανουάριος 2020, Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ), ενώ ταυτόχρονα, είναι εκπαιδευτής και αρθρογράφος για θέματα προστασίας δεδομένων. Είναι πρώην μέλος του Δ.Σ. του European Association of Data Protection Professional (EADPP), γενικός γραμματέας & επικεφαλής της επιτροπής επικοινωνίας και εκδηλώσεων του Ελληνικού παραρτήματος EADPP, επιστημονικός συνεργάτης του Ευρωμεσογειακού Ινστιτούτου Ποιότητας & Ασφάλειας (EIQSH) και μέλος της Homo Digitalis.

 

ΒΙΒΛΙΟΓΡΑΦΙΚΕΣ ΑΝΑΦΟΡΕΣ / ΠΗΓΕΣ

-Τσιπτσέ, Ο., Κωστούλας, Δ. (Ιανουάριος 2020), «Η συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων GDPR EU 2016/679 – Πρακτικά Ζητήματα Υποδείγματα», Νομικές Εκδόσεις ΝΟΜΟΡΑΜΑ.ΝΤ, Αθήνα

-https://www.homodigitalis.gr/posts/9331, Το Πρόγραμμα Συμμόρφωσης με τον GDPR από μια πρακτική σκοπιά, Δημοσθένης Κ. Κωστούλας, 7 Ιουνίου 2021

-BSI, 2009. BS ISO 31000: Risk management: principles and guidelines, London: British Standards Institution.

-Εθνικό Πλαίσιο Απαιτήσεων Κυβερνοασφάλειας Βασικών και Σημαντικών Οντοτήτων (Αρ. Φύλλου 2186), 6 Μαίου 2025)

-Γενικός Κανονισμός Προστασίας Δεδομένων (ΕΕ) 2016/679  https://www.dpa.gr/portal/page?_pageid=33,213319&_dad=portal&_schema=PORTAL

-Baybutt P. Calibration of risk matrices for process safety. J Loss Prevent Process Industries. 2015;38:163–168, 2015.

-Wall KD The trouble with risk matrice. DRMI Working Papers Ongoing Research; 2011.

-Duijm NJ. Recommendations on the use and design of risk matrices. Saf Sci. 2015;76:21–31. 2015

-Korombel A, Tworek P. Qualitative risk analysis as a stage of risk management in investment projects: advantages and disadvantages of selected methods-theoretical approach 2011;1(2):51–54

-https://safeti.com/product/workshop-risk-assessment

 

---

by Homo Digitalis

Μπορείς κι εσύ να γίνεις επαγγελματίας στον τομέα της ασφάλειας τεχνολογιών και πληροφοριών χωρίς τεχνικές γνώσεις!

Γράφει o Γιάννης Ντόκος*

Ο κόσμος των τεχνολογιών είναι διαρκώς μεταβαλλόμενος. Νέες εξελίξεις στον κλάδο λαμβάνουν πλέον χώρα σε καθημερινή βάση, με την πρόοδο των κλάδων όπως αυτών της τεχνητής νοημοσύνης, των κβαντικών υπολογιστών και των συσκευών/μεθόδων ταυτοποίησης. Αναμφίβολα οι εξελίξεις αυτές είναι ελκυστικές, τόσο για τους καταναλωτές και το ευρύτερο κοινό, όσο και για όσους από εμάς ενδιαφερόμαστε να εργαστούμε στον κλάδο των τεχνολογιών. Χρειάζεται,ωστόσο, να κατέχουμε τεχνικές δεξιότητες προκειμένου να απασχοληθούμε στον τομέα της προστασίας πληροφοριών και τεχνολογιών;

Η παρεξήγηση των "τεχνικών γνώσεων"

Πολύ συχνά, όταν ακούμε για επαγγέλματα στον τομέα της ασφάλειας τεχνολογιών και δεδομένων, φανταζόμαστε προγραμματιστές, χάκερς και άτομα που παίζουν με καλώδια, διακομιστές και μόντεμ.. Βεβαίως είναι και αυτές οι εξειδικεύσεις σχετικές με το αντικείμενο, ωστόσο η ασφάλεια πληροφοριών περιλαμβάνει ένα ευρύ φάσμα ρόλων και δραστηριοτήτων – και όχι απαραίτητα τεχνικής φύσης!

Ας πάρουμε τα πράγματα με τη σειρά. Είναι οι τεχνικές γνώσεις χρήσιμες στους κλάδους αυτούς; Αναμφίβολα. Ειδικά αν μιλάμε για θέσεις που απαιτούν τη χρήση τέτοιων δεξιοτήτων σε καθημερινή βάση. Εάν επιδιώκω να ασχοληθώ με τον προγραμματισμό ή την ανάλυση δεδομένων, προφανώς πρέπει να ξέρω πώς να γράφω κώδικα ή να αναλύω δεδομένα προκειμένου να εξάγω κάποιο συμπέρασμα. Σε αυτές τις θέσεις εργασίας, οι τεχνικές δεξιότητες είναι προαπαιτούμενο! Σε μεγαλύτερο ή μικρότερο βαθμό, είναι απαραίτητες.

Τί γίνεται όμως αν θέλει κανείς να ασχοληθεί με το αντικείμενο της ασφάλειας τεχνολογιών, πληροφοριών ή προσωπικών δεδομένων; Πρέπει να είναι τότε άσος με τους υπολογιστές, την ρύθμιση δικτύων και τις μεθόδους πρόσβασης σε αυτά; Η απάντηση, ευτυχώς, είναι “όχι”. Και αυτό είναι πράγματι ένα πολύ θετικό μήνυμα, διότι ανοίγει διόδους εισροής στους παραπάνω κλάδους σε μεγάλο αριθμό επαγγελματιών που δεν είναι αναγκαστικά τεχνικά καταρτισμένοι. Παράλληλα, επιτρέπει τη σχετικά εύκολη μετάβαση από έναν παρεμφερή κλάδο (βλέπε προστασία πληροφοριών), σε έναν άλλο κλάδο εξίσου σχετικό (όπως η διαχείριση κινδύνου στον τομέα της τεχνητής νοημοσύνης). Επομένως, όσοι από εσάς ενδιαφέρεστε να εντρυφήσετε στα  παρακλάδια αυτά, έχετε τη δυνατότητα να το κάνετε χωρίς να χρειάζεται να μπορείτε να διαπεράσετε καλά προστατευμένα δίκτυα “χακάροντας” όποιον υπολογιστή και διακομιστή βρεθεί στο διάβα σας (αν και κάπου θα σας φανεί χρήσιμη αυτή η δεξιότητα)!

Μισό λεπτό όμως! Είναι τόσο εύκολο ο καθένας να μπει στον κλάδο χωρίς τεχνικές γνώσεις; Ίσως όχι εύκολο, αλλά θα έλεγα πως είναι σίγουρα εφικτό, με μια σωστή στάση και την καλλιέργεια σχετικών ικανοτήτων! Οι τεχνολογίες εξελίσσονται γρήγορα, αλλά παράλληλα γίνονται διαθέσιμα όλο και περισσότερα εργαλεία. μέσα και πλατφόρμες που κάνουν πιο προσιτές και κατανοητές τις βασικές έννοιες, ακόμη και σε άτομα με μηδενική επαφή με τον προγραμματισμό ή τις υποδομές δικτύου.

Δεξιότητες για επαγγελματίες στην προστασία πληροφοριών και τεχνολογιών

Σίγουρα οι καθαρά τεχνικές δεξιότητες μπορούν να αποκτηθούν με τον χρόνο, υπάρχουν ωστόσο κάποιες δεξιότητες γενικού χαρακτήρα και στάσεις ζωής που είναι απολύτως καθοριστικές:

 

1. Αναλυτική σκέψη και επίλυση προβλημάτων

Η ασφάλεια πληροφοριών είναι τομέας όπου καλείσαι διαρκώς να αναλύεις προβλήματα, να εντοπίζεις μοτίβα και να βρίσκεις λύσεις. Η ικανότητα να σκέφτεσαι λογικά και να επιλύεις προβλήματα είναι ζωτικής σημασίας και προαπαιτούμενο εάν ο εν λόγω κλάδος σε ενδιαφέρει!

 

2. Περιέργεια και διάθεση για μάθηση

Η τεχνολογία εξελίσσεται συνεχώς. Επομένως, το πηγαίο ενδιαφέρον για τέτοιες εξελίξεις και η διάθεση για μάθηση είναι καίρια. Είτε πρόκειται για νέα εργαλεία, νέες απειλές στην κυβερνοασφάλεια, ή νέους τρόπους προστασίας των δεδομένων, η περιέργεια είναι σύμμαχος των επαγγελματιών του κλάδου.

 

3. Επικοινωνιακές δεξιότητες

Η αλληλεπίδραση με συνεργάτες, νομοθέτες και προμηθευτές είναι καθημερινή και απαραίτητη στον τομέα. Συνεπώς, η ανάπτυξη επικοινωνιακών δεξιοτήτων και διαπροσωπικών σχέσεων είναι απαραίτητη ούτως ώστε να καταλάβουμε,να συνεργαστούμε, να πείσουμε τους άλλους και να βελτιώσουμε την ασφάλεια των υποδομών μας.

 

4. Σφαιρική γνώση και επίγνωση

Η προστασία τεχνολογιών απαιτεί να μπορεί κανείς να δει τη μεγαλύτερη εικόνα και να συνδέει τις κουκίδες. Τυχόν προβλήματα που προκύπτουν είναι πολυπαραγοντικά και άπτονται πολλών διαστάσεων, με αποτέλεσμα η σφαιρική γνώση να είναι μεγάλο προσόν.

Τι μπορείς να κάνεις χωρίς τεχνικές γνώσεις;

Υπάρχουν αρκετές ειδικότητες που μπορούν να προσεγγιστούν με βασικές ή και μηδενικές τεχνικές γνώσεις:

 

• IT Project Management: Εστιάζει στον σχεδιασμό και τη διαχείριση έργων τεχνολογίας.

 

• Governance, Risk & Compliance Analyst: Ασχολείται με την κανονιστική συμμόρφωση και την αξιολόγηση κινδύνου.

 

• Security Awareness Trainer: Εκπαιδεύει προσωπικό σε θέματα ψηφιακής ασφάλειας.

 

• SOC Analyst: Εισαγωγική θέση σε Security Operations Center, με έμφαση στην παρακολούθηση και αναφορά συμβάντων ασφαλείας.

 

Τέτοιες εισαγωγικές θέσεις επιτρέπουν σε κάποιον να μπορεί να αναπτύξει σταδιακά τεχνικές γνώσεις και να εξελιχθεί σε πιο εξειδικευμένες θέσεις.

Από πού να ξεκινήσεις

Αν δεν έχεις τεχνικό υπόβαθρο, υπάρχουν πρακτικά βήματα που μπορείς να ακολουθήσεις:

Online μαθήματα και πιστοποιήσεις

Πολλές προσβάσιμες πλατφόρμες (Coursera, edX, Udemy, Cybrary, Pluralsight) προσφέρουν βασικά μαθήματα για αρχάριους. Πιστοποιήσεις όπως CompTIA Security+, Google IT Support, ή η σειρά ISC2 Certified in Cybersecurity είναι εξίσου καλά πρώτα βήματα.

 

Επιμόρφωση και ενημέρωση

Καθημερινή ανάγνωση άρθρων, blogs, και βιβλίων βοηθά στην κατανόηση και εξοικείωση με το πεδίο. Το να ενημερώνεσαι για τις εξελίξεις είναι βασική συνήθεια κάθε επαγγελματία στον χώρο.

Συμμετοχή σε κοινότητες

Φόρουμ, ομάδες στο LinkedIn, και συμμετοχή σε events (όπως τα BSides, OWASP Meetups και φυσικά τα event που διοργανώνει η Homo Digitalis!) θα σε φέρουν κοντά με άλλους επαγγελματίες του χώρου που μπορεί να έχουν πολύ χρήσιμες πληροφορίες ή κατευθυντήριες γραμμές να σου προτείνουν.

 

Εύρεση μέντορα

Ένας μέντορας, κάποιος που να σε καθοδηγεί, μπορεί να είναι ανεκτίμητος. Το ίντερνετ, εξειδικευμένες πλατφόρμες (π.χ. ΆλληλονΝΕΤ) ή το YouTube παρέχουν τέτοιες δυνατότητες.

 

Το κατάλληλο mindset

Το πιο σημαντικό στοιχείο για να πετύχει κάποιος στον χώρο – περισσότερο και από τις γνώσεις – είναι η επιμονή, η υπομονή και η περιέργεια. Πολλοί επαγγελματίες του χώρου ξεκίνησαν από διαφορετικά υπόβαθρα: βιολογία, νομική, διοίκηση επιχειρήσεων ή ακόμη και τέχνες! Με τη σωστή νοοτροπία και αντιμετώπιση, άτομα από κάθε υπόβαθρο μπορούν να απασχοληθούν στο πεδίο της ασφάλειας πληροφοριών και τεχνολογιών!

Εν κατακλείδι

Η ασφάλεια πληροφοριών δεν είναι κλειστή μόνο στους χάκερς, τους προγραμματιστές και τους τεχνικούς δικτύων. Το πεδίο έχει ανοίξει τις πόρτες του σε όσους έχουν την όρεξη, τη σωστή νοοτροπία και τη διάθεση να εξελίσσονται. Με σωστή καθοδήγηση, επιμονή και αξιοποίηση των διαθέσιμων πόρων, οποιοσδήποτε μπορεί να μπει στον χώρο και να διαπρέψει!

*Ο Γιάννης Ντόκος είναι Ειδικός IT Governance, Risk, and Compliance (GRC).

 

---

by Homo Digitalis